Комментарии 42
меня вообще поражает эта мода на всякие месенджеры, которые каждый сезон нужно менять, вслед за модой.
Точно так же геймеры когда-то сидели в Ventrillo, потом появился более удобный RaidCall, а затем ещё более удобный Discord.
Да и мессенджеры эволюционируют. Когда-то все сидели в ICQ, но сейчас предложение сидеть по старой памяти в ICQ, лишь бы, не дай бог, не перейти на что-то новое, не вызывает ничего, кроме смеха «Клименко, перелогинься».
Точно так же геймеры когда-то сидели в Ventrillo, потом появился бесплатный RaidCall, а затем тоже бесплатный, но более удобный Discord.
Фримеум. У платных юзеров все те же проблемы
Как всегда, хочешь иметь хорошую вещь — сделай её сам. В данном случае — спрограммируй, собери, запусти.
Эти три пункта в принципе не сложны. Но обычно забывают, что у подобных сервисов есть еще 2 фазы цикла жизни: поддержка и развитие.
Да и рецепт: возьми опенсорсные продукты, замиксуй и получи готовое решение — просто так не работает. Повсюду натыканы подводные камни.
Как всегда, хочешь иметь хорошую вещь — сделай её сам. В данном случае — спрограммируй, собери, запусти.
Хороший совет недовольному программисту, пришедшему в магазин за не таким хлебом, не таким компьютером, не таким автомобилем, не такой квартирой. :)
Выяснилось, что Zoom преобразует в ссылки UNC-пути… Используя такие ссылки, по которым размещены изображения, аудиозаписи и другие медиафайлы, хакеру не составит никакого труда взломать хэши и получить доступ к учётным данным пользователей Zoom.
Zoom не преобразует ссылки в UNC пути. Наоборот, UNC пути становятся кликабельными ссылками. При нажатии на ссылку может утечь NTLM хэш учетной записи windows, а не сферический хэш Zoom в вакууме.
Еще раз: взломают не учетку Zoom, а ваши доверительные данные для входа в учетную запись Windows. Это больше проблема Windows, чем Zoom. В корпоративных средах с хорошим штатом администраторов вряд ли эту проблему можно будет эксплуатировать. Подробности тут.
Zoom не имеют должного шифрования и что сама компания может просматривать любые сеансы связи своих пользователей. А отсутствие сквозного шифрования приводит к тому, что в беседы могут вмешиваться посторонние: в 2020 году большую популярность приобрел так называемый «Zoombombing»
Сквозное шифрование — модное словечко, которое иногда неприменимо на практике. Когда в чате 2 человека — сквозное шифрование возможно (и даже нужно). Когда речь о трансляции на 10+ человек — сквозное шифрование становится близким к невозможному в полевых условиях. Идея сквозного шифрования в том, что сервер поставщика услуг не видит контента, его может расшифровать только конечная сторона. А теперь подумайте о накладных расходах во время конференц-связи с 10 участниками. В случае использования обычного TLS соединения до концеренц-провайдера, отсылается одна «копия» сообщения, которая потом передается остальным самим контент-провайдером. При использовании сквозного шифрования каждый из участников должен слать шифрованную копию сообщения (видео-потока) 10 другим участниками. Учитывая что средний размер потока при видеозвонках — 4 мегабита в секунду, это превращается в 40 мегабит. А если я присоединился к трансляции через 4G?
Современные энтерпрайз решения для видеоконференций состоят из множества компонентов и это не только ноутбук/телефон работника. Извиняюсь за мое высокомерие: в нормальных компаниях все совещания происходят через так называемые «митинг-румы», которые оборудованы дорогими камерами, следящими за разговаривающими, микрофонами и акустической системой. Такие «митинг-румы» не контролируются через «старый ноутбук в шкафу», а подключаются через SIP сервисы или проприетарные «коннекторы». Стоит ли упоминать, что эти железки просто не могут потянуть шифрование?
В случае, если я нахожусь где-то вообще без интернета, я могу подключиться к конференции позвонив с мобильного/настольного на телефонный номер компании и указав пин-код встречи. Это нам дает в целом вот такую картину.
Я понимаю, что вам проще объяснить пранки тем, что «сервис не имеет сквозного шифрования», но ведь дело может быть и в другом: в том, что пользователи не включают требование ввести пароль для входа в сессию. Я не шучу. Одна галка в настройках действительно может решить проблему.
На днях американское издание Washington Post сообщило о тысячах бесед Zoom, попавших в открытый доступ, которые были опубликованы на площадках YouTube и Vimeo. (https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/
Вы сами смотрели ссылку которую указали как пруф или просто снова поверили «желтым» переводам?
But because Zoom names every video recording in an identical way, a simple online search can reveal a long stream of videos elsewhere that anyone can download and watch. The Washington Post is not revealing the naming convention that Zoom uses, and Zoom was alerted to the issue before this story was published.
Many of the videos appear to have been recorded through Zoom’s software and saved onto separate online storage space without a password. It does not affect videos that remain with Zoom’s own system.
Разбираемся вместе: Zoom имеет 2 варианта записи сессий: в облако Zoom и на локальный компьютер. В облако могут писать все аккаунты Pro (платные, $15), но объем хранилища там 1 гигабайт. Этого хватает на 2-3 совещания. Если нужно хранить больше — каждый последующий гигабайт стоит $40 (называется Additional Cloud Recording Storage Add-on). Нет ничего удивительного, что люди вместо того, чтобы платить деньги, сохраняют совещания локально а потом выгружают: на ютуб, на vimeo, Google Drive, Mega и другие сервисы. Статья говорит о том, что люди сами виноваты в том, что делятся записями разговоров не защищая записи паролями. Zoom виноват только в том, что все записи имеют префикс названия файла. Совещания, которые записаны с использованием 40-баксовых планов этой проблеме не подвержены: каждая прямая ссылка на загрузку видео защищается CSRF токеном в заголовке и сессинной кукой. При попытке подменить ID видео — Zoom перенаправляет на страницу входа. Попробуйте сами.
Остальные страшилки автора вызывают такие же вопросы, но их уже может проверить любой нетехнический пользователь, так что я оставлю это комьюнити.
Zoom не преобразует ссылки в UNC пути.
Именно это и сказано:
преобразует в ссылки UNC-пути
Под «модным словечком» «сквозное шифрование» (end-to-end encryption) понимается вполне конкретная функциональность, безотносительно того, что некоторые варианты её реализации явно тяжеловесны и есть проблема с подключением по телефонной линии. Если компания утверждает, что эта функциональность есть, а потом выясняется, что компания под этим «модным словечком» понимает нечто другое, то как это называется? Не забываем при этом, что утверждение о наличии этой функциональности даёт нехилое такое конкурентное преимущество. Да и пользователи, когда слышат «сквозное шифрование» — думают, что никто кроме участников конференции не может её расшифровать…
End-to-end шифрование в Zoom и правда есть (не знаю, на сколько это шифрование стойкое). Только для чатов. То есть технически, они не соврали. Просто «оказалось» что end-to-end шифрование не работает для видео-конференций, как некоторые пользователи могли ожидать.
Во всей шумихе с Zoom меня меньше всего интересует их маркетинг. Я уже как-то научился отфильтровывать балабольщину от действительных технических state-of-art. И вообще, если вы работали с продажниками Cisco, то знаете, что есть ситуация когда:
Если компания утверждает, что эта функциональность есть, а потом выясняется, что компания под этим «модным словечком» понимает нечто другое, то как это называется?И (наверное) понимаете, что энтерпрайз решения защищаются от таких проблем контрактами в 50+ А4 страниц и SLA.
End-to-end шифрование в Zoom и правда есть (не знаю, на сколько это шифрование стойкое). Только для чатов.Давайте посмотрим не на то, что на их сайте сейчас, а на то, что было, ну скажем, 25.03.2020. Вот выдержка:
Protecting your MeetingsКомпания-таки утверждала, что «сквозное шифрование» (end-to-end encryption) для конференций у них ведётся.
The following in-meeting security capabilities are available to the meeting host:
* Secure a meeting with end-to-end encryption
...
Во всей шумихе с Zoom меня меньше всего интересует их маркетинг. Я уже как-то научился отфильтровывать балабольщину от действительных технических state-of-art.Это делает Вам честь. А как же остальные пользователи, которые далеки от IT? То есть, «на клетке слона… надпись «буйвол»» — это нормально?
И (наверное) понимаете, что энтерпрайз решения защищаются от таких проблем контрактами в 50+ А4 страниц и SLA.Я не автор статьи и про «энтерпрайз решения» ничего не писал.
Давайте посмотрим не на то, что на их сайте сейчас, а на то, что было, ну скажем, 25.03.2020.Как я сказал:
Во всей шумихе с Zoom меня меньше всего интересует их маркетинг.Надеюсь, я никого не обижу приведя в пример телеграм.
В телеграме тоже якобы end-to-end — но по-умолчанию чаты без шифрования. Да и «секретных групп» так-то вообще нет. Но «в целом» телеграм себя позиционирует как безопасный мессенджер. И
что-то это никого не тревожит.
P.S. в вашей выжимке c офф-сайта не вижу слова video/audio рядом с «end-to-end encryption». Там написано про встречи, а они могут быть полностью текстовые, нет?
Надеюсь, я никого не обижу приведя в пример телеграм.Если найдёте, где они писали, что чаты шифруются е2е, без упоминания того, что шифруются только «приватные»/«секретные» чаты — то это будет пример. А пока нет.
Прямо на главной странице телеграма: "Private. Telegram messages are heavily encrypted and can self-destruct" и "Secure. Telegram keeps your messages safe from hacker attack". Вообще без уточнений, к каким чатам это относится и как оно работает, что шифруется, а что нет. Если покопаться глубже — наверняка можно найти подробную информацию, они её не скрывают, но и не афишируют на главной странице. Всё как с Zoom.
Справедливости ради путем хитрых манипуляций в zoom можно таки организовать p2p вызов на двоих и вот тут как раз наверное есть e2e, но это не точно. Если это так, то не вижу принципиальных отличий от той же телеги
Когда речь о трансляции на 10+ человек — сквозное шифрование становится близким к невозможному в полевых условиях.
Всё возможно и достаточно тривиально с криптографической точки зрения. Участники трансляции получают единый эфемерный ключ на всех (например, через инициатора трансляции) и шифруют свои потоки используя его. Поток от каждого пользователя идёт на сервер, который и дублирует его на остальных участников. Да, сервер не может вмешиваться в поток, поэтому он не сможет понижать битрейт для отдельных участников или синтезировать единый поток для всех, но это можно решать на уровне клиента вводя протоколы согласования битрейта от каждого из участников (например, динамически меняя разрешение видео потока, либо убирая его вовсе в зависимости говорит сейчас человек или нет).
Проблема кроется в аутентификации, без которой возможно легко инициировать MitM со стороны сервера. Решения тут тоже есть начиная от тривиального "каждый аккаунт идентифицируется по открытому криптографическому ключу" (и каждый аккаунт верифицируется либо central autority по типу TLS, либо вручную по типу Web of Trust) и заканчивая возможностью посмотреть фингерпринт текущего эфемерного ключа и проверить голосом его совпадение для других участников (так сделано, например, в Jitsi). Последний вариант сохраняет возможность подключаться к трансляциям анонимно и проверять отсутствие MitM со стороны сервера (разумеется, при условии использования опенсурсного не-веб клиента).
Без использования прокси — никак. Разумеется такой прокси сможет прослушивать данные потоки. Но при открытом протоколе и опенсурсных клиентах, такой прокси может быть поднят самой компанией на собственной инфраструктуре, либо арендован у более надёжных поставщиков держащих сервера в стране, которой вы доверяете, а не где-то в Китае.
Прошу обратить внимание, что мой пост касался в первую очередь вашего утверждения о "невозможности" end-to-end шифрования в данной области и не затрагивал другие поднятые вами вопросы.
Как раз Zoom (а не Skype, не Hangouts и не что угодно ещё) выехал на том, что регулирует битрейт, максимально эффективно использует пропускную способность, "догоняет" аудио при скачках задержки сети, нормально работает из коробки в любых комбинациях клиентов.
Это сложно написать в списке фич, но когда вы попробовали раз провести по скайпу групповой звонок и одного из участников постоянно не было слышно из-за какой-то не такой версии скайпа, вы начинаете понимать, что на самом деле важно в групповых конференциях.
Да, круто было бы сделать E2E групповые видеоконференции, но Zoom как пользовательский продукт они бы убили.
А так — написан полный бред…
Мы не используем данные, которые мы получаем от использования вами наших программ, для какой-либо рекламы.
Мы просто продаем ваши данные Фейсбуку, чтобы он мог лучше с Вами взаимодействовать.
Зачем нужен zoom при существовании в природе discord?
Можно встречный вопрос? Зачем нужен discord при существовании в природе zoom? Буду вам признателен, если вы ответите на него как для тех, кто про существование в природе discord узнал из вот этого вашего комментария, на который я сейчас отвечаю. ;)
Reuters сообщает, что в Google с 8 апреля запретили использовать приложение на ноутбуках своих сотрудников, ссылаясь на проблемы безопасности Zoom.
Жалко что Google не запретил себе покупать данные у Zoom.
Zoom — банальная халатность или целенаправленный шпионаж?